高手過招——使用 Windows XP 組策略修改系統配置

組策略是管理員為電腦和使用者定義的，用來控制應用程式、系統設定和系統管理範本的一種機制。通俗一點說，是介於控制台和註冊表之間的一種修改系統、設定程式的工具。微軟自Windows NT 4.0開始便採用了組策略這一機制，經過Windows 2000發展到Windows XP已相當完善。利用組策略可以修改Windows的案頭、開始菜單、登入方式、組件、網路及IE瀏覽器等許多設定。

　　平時像一些常用的系統、外觀、網路設定等我們可通過控制台修改，但大家對此肯定都有不滿意，因為通過控制台能修改的東西太少；水平稍高點的使用者進而使用修改註冊表的方法來設定，但註冊表涉及內容又太多，修改起來也不方便。組策略正好介於二者之間，涉及的內容比控制台中的多，安全性和控制台一樣非常高，而條理性、可操作性則比註冊表強。

　　本文主要介紹Windows XP Professional本機群組策略的應用。本機電腦組策略主要可進行兩個方面的配置：電腦配置和使用者配置。其下所有設定項的配置都將儲存到註冊表的相關項目中。其中電腦配置儲存到註冊表的HKEY_LOCAL_MACHINE子樹中，使用者配置儲存到HKEY_CURRENT_USER。
　　
一、訪問組策略

　　有兩種方法可以訪問組策略：一是通過gpedit.msc命令直接進入組策略視窗；二是開啟控制台，將組策略添加進去。

　1. 輸入gpedit.msc命令訪問

　　選擇“開始”→“運行”，在快顯視窗中輸入“gpedit.msc”，斷行符號後進入組策略視窗（圖1）。組策略視窗的結構和資源管理員相似，左邊是樹型目錄結構，由“電腦配置”、“使用者配置”兩大節點群組成。這兩個節點下分別都有“軟體佈建”、“Windows設定”和“系統管理範本”三個節點，節點下面還有更多的節點和設定。此時點擊右邊視窗中的節點或設定，便會出現關於此節點或設定的適用平台和作用描述。“電腦配置”、“使用者配置”兩大節點下的子節點和設定有很多是相同的，那麼我們該改哪一處？“電腦配置”節點中的設定應用到整個電腦策略，在此處修改後的設定將應用到電腦中的所有使用者。“使用者配置”節點中的設定一般只應用到目前使用者，如果你用別的使用者名稱登入電腦，設定就不會管用了。但一般情況下建議在“使用者配置”節點下修改，本文也將主要講解“使用者配置”節點的各項設定的修改，附帶講解“電腦配置”節點下的一些設定。其中“系統管理範本”設定最多、應用最廣，因此也是本文的重中之重。

　2. 通過控制台訪問組策略

　　單擊“開始”→“運行”，輸入“mmc”，斷行符號後進入控制台視窗。單擊控制台視窗的“檔案”→“添加/刪除嵌入式管理單元”，在快顯視窗單擊“添加”（圖2），之後選擇“組策略”並單擊“添加”（圖3），在下一步的“選擇組策略對象”對話方塊中選擇對象。由於我們組策略對象就是“本機電腦”，因此不用更改，如果是網路上的另一台電腦，那麼單擊“瀏覽”選擇此電腦即可。另外，如果你希望儲存組策略控制台，並希望能夠選擇通過命令列在控制台中開啟組策略對象，請選中“當從命令列開始時，允許更改‘組策略嵌入式管理單元’的焦點”複選框（圖4）。最後添加進來的組策略5所示。

二、工作列和“開始”功能表項目設定

　　本節點允許你為開始菜單、工作列和通知區域添加、刪除或禁用某一功能項目。依次展開“使用者配置”→“系統管理範本”→“工作列和‘開始’菜單”，在右邊視窗便能看到“工作列和‘開始’菜單”節點下的具體設定，其狀態都處在“未被配置”（圖6）。

　1. 給“開始”菜單減肥

　　Windows XP的“開始”菜單的功能表項目很多，可通過組策略將不需要的刪除掉。以刪除開始菜單中的“我的文件”表徵圖為例看看其具體操作方法：在右邊視窗中雙擊“從‘開始’菜單上刪除‘我的文件’表徵圖”項，在彈出對話方塊的“設定”標籤中點選“已啟用”，然後單擊“確定”（圖7），這樣在“開始”菜單中“我的文件”表徵圖將會隱藏。

　2. 防止隱私泄漏

　　在開始菜單中有一個“我最近的文檔”功能表項目，別人可通過此菜單訪問你最近開啟的文檔，為安全起見，可刪除此功能表項目，並設定不儲存最近開啟的文檔記錄。雙擊“不要保留最近開啟文檔的記錄”、“退出時清除最近開啟的文檔記錄”、“從‘開始’菜單上刪除‘文檔’菜單”3項，在彈出對話方塊中點選“已啟動”並確定即可。

　3. 禁止隨意修改工作列和“開始”菜單

　　為保護自己好不容易設定好的工作列和“開始”菜單，可雙擊啟用下列各設定。

　　“阻止更改‘工作列和‘開始’菜單 ’設定”：即從“開始”菜單的“設定”功能表項目中刪除“工作列和‘開始’菜單”項目，這個設定也可阻止使用者開啟“工作列屬性”對話方塊。“阻止訪問工作列的操作功能表”（操作功能表即單擊右鍵彈出的捷徑功能表）：當滑鼠右鍵單擊工作列及工作列上項目時隱藏菜單，例如[開始] 按鈕、時鐘和工作列按鈕，但不能禁止使用者在其他地方更改。“鎖定工作列”：啟用此設定，可阻止使用者移動工作列或調整工作列的大小，但自動隱藏和其他工作列選項仍然在“工作列屬性”中可用。

　4. 去掉Windows XP“開始”菜單中的圖形化設定

　　Windows XP的“開始”菜單增添了許多圖形化設定，其實可在組策略中將這些功能關閉。

　　“關閉個人化功能表”：Windows XP會自動將最近使用的功能表項目移動到開始菜單頂部，並且隱藏最近沒有使用的功能表項目，以此實現個人化功能表，啟用此設定將關閉個人化功能表。“強制典型菜單”：啟用此設定，開始菜單就以Windows 2000樣式顯示典型的開始菜單，並且顯示標準案頭表徵圖。

　5. 禁止“登出”和“關機”

　　進行三維動畫設計和視頻處理的朋友經常會為匯出一個大型動畫、視頻檔案而花幾個小時，這時如果有人重新啟動電腦或登出使用者，那麼前面所做的工作就會白白浪費，因此有必要禁止“開始”菜單中的“登出”、“關機”功能表項目。你只需雙擊啟用“刪除‘開始’菜單上的‘登出’”和“刪除和阻止訪問‘關機’命令”兩項即可。後一設定不僅將從“開始”菜單中刪除“關閉電腦”項，而且還會禁用“Windows 工作管理員”對話方塊中的“關機”選項（圖8）。
　　
三、案頭項目設定

　　在“組策略”的左視窗依次展開“使用者配置”→“系統管理範本”→“案頭”節點，便能看到有關案頭的所有設定（圖9）。此節點主要作用在於系統管理使用者使用案頭的權利和隱藏案頭表徵圖。

　1. 隱藏不必要的案頭表徵圖

　　案頭上的一些捷徑我們可以輕而易舉地刪除，但要刪除“我的電腦”、“資源回收筒”、“網路位置”等預設表徵圖，就需要依靠“組策略”了。例如要刪除“我的文件”，只需在“刪除案頭上的‘我的文件’表徵圖”一項中設定即可。

　2. 禁止對案頭的改動

　　利用組策略可達到禁止別人改動案頭某些設定的目的。“禁止使用者更改‘我的文件’路徑”項可防止使用者更改“我的文件”檔案夾的路徑。“禁止添加、拖、放和關閉工作列的工具列”項可阻止使用者從案頭上添加或刪除工作列。雙擊啟用“退出時不儲存設定”後，使用者將不能儲存對案頭的更改。最後，雙擊啟用“隱藏和禁用案頭上的所有項目”設定項，將從案頭上刪除表徵圖、捷徑以及其他預設的和使用者定義的所有項目，連案頭右鍵菜單都將被禁止。

　3. 啟用或禁止活動案頭

　　利用“Active Desktop”項，可根據自己的需要設定活動案頭的各種屬性。“啟用活動案頭”項可啟用活動案頭並防止使用者禁用它。“活動案頭牆紙”項可指定在所有使用者的案頭上顯示的案頭牆紙（圖10）。而啟用“不允許更改”項便可防止使用者更改活動案頭配置。
　　
四、隱藏或禁止控制台項目

　　這裡講到的控制台項目設定是指配置控制台程式的各項設定，主要用於隱藏或禁止控制台項目。在組策略左邊視窗依次展開“使用者配置”→“系統管理範本”→“控制台”項，便可看到“控制台”節點下面的所有設定和子節點（圖11）。

　1. 隱藏或禁止“添加/刪除程式”項

　　展開“添加/刪除程式”項：雙擊啟用“刪除‘添加/刪除程式’程式”設定項後，控制台中的“添加/刪除程式”項將被刪除。此外在“添加或刪除程式”對話方塊中共有3個頁面：“更改或刪除程式”、“添加新程式”以及“添加/刪除Windows組件”；而當你進入“添加新程式”頁面時，會發現有3個選項：“從CD-ROM或磁碟片添加程式”、“從 Microsoft添加程式”以及“從網路中添加程式”（圖12），如果你想這些具體頁面或選項隱藏，可直接在組策略“添加/刪除程式”項中將相應隱藏功能啟用。

　2. 隱藏或禁止“顯示”項

　　展開“顯示”項，發現這一項和上一項一樣，可隱藏“顯示內容”對話方塊中的選項卡。這裡就不細講了，例如雙擊啟用“隱藏‘案頭’選項卡”後，“顯示視窗”中將不再出現“案頭”項（圖13）。此外，在這裡使用者還可啟用“刪除控制台中的‘顯示’”，這樣在控制台中雙擊開啟“顯示”項時，就會彈出一個對話方塊提示你：系統管理員禁止使用“顯示”控制台（圖14）。

　3. 其他

　　依次展開“顯示”→“桌面主題”項，雙擊啟用“刪除主題選項”、“阻止選擇視窗和按鈕式樣”、“禁止選擇字型大小”項後，可阻止他人更改主題、視窗和按鈕式樣、字型。展開“印表機”項，雙擊啟用“阻止添加印表機”或“阻止刪除印表機”可防止別的使用者添加或刪除印表機。最後，直接在“控制台”一項下啟用“禁止存取控制面板”，控制台將無法啟動。
　　
五、系統項目設定

　　這一項在“使用者配置”→“系統管理範本”→“系統”中設定（圖15）。組策略中對系統的設定涉及到登入、電源管理、組策略、指令碼等很多項目，下面把和我們聯絡緊密的部分清理出來分類列舉如下：

　1. 登入時不顯示歡迎畫面介面

　　Windows 2000和Windows XP系統登入時預設情況下都有歡迎畫面，雖然漂亮但也麻煩且延長登入時間，通過組策略便可將其除去。雙擊啟用“系統”節點下的“登入時不顯示歡迎畫面”，則每次使用者登入時歡迎畫面將隱藏。

　2. 禁用登錄編輯程式

　　為防止他人修改註冊表，可在組策略中禁止訪問登錄編輯程式。雙擊啟用“系統”節點下的“阻止訪問登錄編輯程式”項後，使用者試圖啟動登錄編輯程式時，系統將提示：註冊編輯已被管理員停用（圖16）。另外，如果你的登錄編輯程式被鎖死，也可雙擊此設定，在彈出對話方塊的“設定”標籤中點選“未被配置”項，這樣你的註冊表便解鎖了。如果要防止使用者使用其他註冊表編輯工具開啟註冊表，請雙擊啟用“只運行許可的Windows應用程式”。

　3. 關閉系統自動播放功能

　　一旦你將光碟片插入光碟機中，Windows XP就會開始讀取光碟機，並啟動相關的應用程式。這樣雖然給我們的工作帶來了便利，在某些時候也帶來了不少麻煩。在“系統”節點下有一項為“關閉自動播放”設定項，雙擊其並在彈出對話方塊的“設定”標籤中點選“已啟用”，在“關閉自動播放”框中選擇“CD-ROM啟動器”或“所有磁碟機”項即可（圖17）。

　　注意：此設定不阻止自動播放音樂CD。

　4. 關閉Windows自動更新

　　每當使用者串連到Internet，Windows XP就會搜尋使用者電腦上的可用更新，根據配置的具體情況，在下載的組件準備好安裝時或在下載之前，給使用者以提示。如果你不喜歡比爾老大這種自作主張的態度，可通過組策略關閉這一功能。只須雙擊“系統”節點下的“Windows自動更新”設定項，在彈出來的對話方塊中點選“已禁用”並確定即可。

　5. Ctrl+Alt+Del選項

　　若Windows XP使用者已取消“使用歡迎畫面”項，若同步選取“Ctrl+Alt+Del”鍵，便會彈出一個“Windows安全”對話方塊，此對話方塊中有“鎖定電腦”、“登出”、“關機”、“更改密碼”、“工作管理員”、“取消”6個功能按鈕（圖18）。大家都知道這裡的每個按鈕對系統都起著關鍵的作用。為了阻止別人操作，可通過組策略屏蔽這些按鈕。

　　找到“系統”下的“Ctrl+Alt+Del選項”，雙擊啟用“刪除工作管理員”、“刪除‘鎖定電腦’”、“刪除改變密碼”、“刪除登出”項便能屏蔽掉“Windows安全”對話方塊的“工作管理員”、“鎖定電腦”、“更改密碼”、“取消”4個功能按鈕。

　　注意：“登出”、“關機”兩個功能表項目的屏蔽，在“使用者配置”→“系統管理範本”→“工作列和‘開始’菜單”節點下。
　　
六、隱藏或刪除Windows XP資源管理員中的項目

　　一直以來，資源管理員就是Windows系統中最重要的工具，如何高效、安全地管理資源也一直是電腦使用者的不懈追求。依次展開“使用者配置”→“系統管理範本”→“Windows組件”→“Windows資源管理員”項，可以看到“Windows資源管理員”節點下的所有設定（圖19）。下面就來看看怎樣通過組策略實現資源管理員個人化。

　1. 刪除“檔案夾選項”

　　“檔案夾選項”是資源管理員中一個重要的功能表項目，通過它可修改檔案的查看方式，編輯檔案類型的開啟檔案（圖20）。我們自己對其設定好後，為了防止他人隨意更改，可將此功能表項目刪除，你只須雙擊啟用“從‘工具’菜單刪除‘檔案夾選項’菜單”便能完成這一設定。

　2. 隱藏“管理”功能表項目

　　在資源管理員中按右鍵“我的電腦”出現的捷徑功能表中有一個“管理”功能表項目，通過此功能表項目，可以開啟一個包含“事件檢視器”、“本機使用者和組”、“裝置管理員”、“磁碟管理”等眾多工具的“電腦管理”視窗（圖21）。為了保障你的電腦免受他人無意破壞，可通過雙擊啟用“隱藏Windows資源管理員操作功能表上的‘管理’項目”項來屏蔽此功能表項目。

　3. 其他項目的隱藏

　　此外通過啟用“隱藏‘我的電腦’中的這些指定的磁碟機”可隱藏你指定的磁碟機（圖22）。還可通過啟用“‘網路位置’中不含‘整個網路’”屏蔽掉“整個網路”項。雙擊啟用“刪除CD燒錄功能”刪除Windows XP內建的光碟片燒錄功能。雙擊啟用“不要將已刪除的檔案移到‘資源回收筒’”則以後刪除檔案時將不進入資源回收筒直接刪除掉。當然還有不少項目這裡沒有講到，大家可根據需要自行探討，進行適當的配置。
　　
七、IE瀏覽器項目設定

　　在組策略左邊視窗中依次展開“使用者配置”→“系統管理範本”→“Windows組件”→“Internet Explorer”項，在右邊視窗中便能看到“Internet Explorer”節點下的所有設定和子節點（圖23）。IE是Windows XP內建的網頁瀏覽器，也是大多數使用者採用的瀏覽器，但其安全性也為人所詬病，下面就通過組策略來對其進行“改造”。

　1. 在IE工具列添加捷徑

　　不知道大家注意到了沒有，不少軟體在安裝完之後都會在IE工具列上添加表徵圖，單擊其便能啟用相應程式。其實用組策略可以在IE工具列上為任何程式添加捷徑，這裡舉例說明如何添加一個ICQ的啟動表徵圖。展開“Internet Explorer維護”下的“瀏覽器使用者介面”，雙擊“瀏覽器工具列自訂”設定項，在彈出來的對話方塊中單擊“添加”按鈕，在“瀏覽器工具列按鈕資訊”對話方塊的“工具列標題”中輸入：ICQ，在“工具列操作”中輸入D:\Fun\ICQLite\ICQLite.exe，然後再隨便選擇一個“顏色表徵圖”和“灰階表徵圖”（圖24，當然你也可以用ExeScope等來提取ICQ的表徵圖）。單擊“確定”後IE工具列中便多了一個ICQ表徵圖！

　2. 讓IE外掛程式不再騷擾你

　　我們平常上網瀏覽網頁時，總會彈出一些諸如“是否安裝Flash外掛程式”、“是否安裝3721網路實名”的提示，就像廣告視窗一樣煩人。實際上我們可在組策略中通過啟用“Internet Explorer”節點下的“禁用Internet Explorer組件的自動安裝”來禁止這種提示的出現。不過有時這一功能也是很用的，所以在禁止此功能之前請稍加考慮。

　3. 保護好你的個人隱私

　　一般通過單擊IE工具列上的“曆史”按鈕，便可瞭解以前瀏覽過的網頁和檔案。為保密起見，你可以通過雙擊啟用“Internet Explorer”節點下的“不要保留最近開啟文檔的記錄”和“退出時清除最近開啟的文檔記錄”兩個設定項，這樣再單擊IE工具列上的“曆史”按鈕，你訪問過的曆史網頁記錄將全部消失。

　4. 禁止項

　　如果不希望他人對你的首頁進行修改，可啟用“Internet Explorer”節點下的“禁用更改首頁設定”設定項禁止別人更改你的首頁（圖25）。你也可通過訪問“瀏覽器菜單”，啟用其中的設定項對IE瀏覽器的若干功能表項目進行屏蔽。最後，在“Internet控制台”節點下，你還可對“Internet選項”對話方塊中的部分選項卡進行隱藏（圖26）。
　　
八、系統安全設定

　　自有電腦以來，安全一直就是人們關注的焦點問題，Windows XP也不例外。在組策略中，系統安全配置一般在“電腦配置”→“Windows設定”→“安全設定”中進行。

　1. 密碼原則

　　這一策略在“賬戶策略”→“密碼原則”節點中配置（圖27）。口令是系統安全的一大隱患，可通過組原則設定密碼（口令）的最小長度：雙擊啟用“密碼必須符合複雜性要求”設定項，確定後雙擊“密碼長度最小值”設定項，在彈出來的對話方塊中將密碼長度最小值設為8或更大，這樣以後設定賬戶密碼時就必須輸入8位以上，安全性就高多了。

　2. 使用者權利指派

　　展開“本地策略”→“使用者權利指派”節點，在右邊視窗中便能看到“使用者權利指派”節點下的所有設定（圖28）。合適地指派使用者權利可以解決一些奇怪的問題，例如在區域網路中使用Windows XP系統的朋友一般會發現一個奇怪的現象，那就是即使你啟用guest使用者並給予許可權，區域網路中的其他Win9X作業系統的使用者還是無法訪問Windows XP系統中的共用資源。這個問題可在組策略中通過修改有關設定解決：雙擊“使用者權利指派”節點下的“拒絕從網路訪問這台電腦”設定項，在彈出對話方塊中點選“guest”，然後單擊“刪除”，最後確定即可（圖29）。在“使用者權利指派”節點下還可給使用者添加許多許可權，例如給guest添加遠程關機許可權、給一般使用者添加更改系統時間的許可權.